Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Faille DNS: savoir si on est vulnerable? c'est ici ;-)

0 views
Skip to first unread message

Pierre

unread,
Jul 10, 2008, 4:05:14 AM7/10/08
to
Bonjour tout le monde

Vous pouvez tester votre vulnérabilité DNS à cette faille ici:

http://www.doxpara.com/

Cordialement,

Pierre

DAPL

unread,
Jul 10, 2008, 4:28:46 AM7/10/08
to
Oui, et si c'est le FAI qui est vulnérable ?
Que faire à part attendre qu'il patche ?

Pascal Hambourg

unread,
Jul 10, 2008, 6:35:43 AM7/10/08
to
Salut,

DAPL a écrit :


> Oui, et si c'est le FAI qui est vulnérable ?
> Que faire à part attendre qu'il patche ?

Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.

Fabien LE LEZ

unread,
Jul 10, 2008, 6:44:00 AM7/10/08
to
On 10 Jul 2008 10:35:43 GMT, Pascal Hambourg :

>Installer et utiliser son propre DNS récursif autonome qui ne soit pas
>vulnérable.

Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?

Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.

Pascal Hambourg

unread,
Jul 10, 2008, 7:08:16 AM7/10/08
to
Fabien LE LEZ a écrit :

>
>>Installer et utiliser son propre DNS récursif autonome qui ne soit pas
>>vulnérable.
>
> Accessoirement, as-tu une suggestion de logiciel qui :
> - fonctionne sous Windows
> - ne soit pas vulnérable
> - soit raisonnablement facile à installer ?

Non, je n'utilise que BIND 9 sous GNU/Linux.

> Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
> depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
> critère.

Pas sûr. C'est une faille résultant d'un mauvais choix de conception.
Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne
sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux
vérifier avec le lien fourni en début de fil. Par contre il a peut-être
d'autres failles ou bugs.

> Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
> affirmer qu'il ne correspond pas au troisième critère.

Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.

> Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
> sous Windows.

Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre
cette vulnérabilité parce que son développeur avait fait le bon choix de
conception dès le départ.

Fabien LE LEZ

unread,
Jul 10, 2008, 7:27:02 AM7/10/08
to
On 10 Jul 2008 11:08:16 GMT, Pascal Hambourg
<boite-...@plouf.fr.eu.org>:

>De toute façon tu peux
>vérifier avec le lien fourni en début de fil.

Ah ben effectivement, Posadis semble fonctionner correctement. :-)

>> Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
>> affirmer qu'il ne correspond pas au troisième critère.
>
>Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
>fcr.ip.

Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.

Pascal Hambourg

unread,
Jul 10, 2008, 7:40:28 AM7/10/08
to
Fabien LE LEZ a écrit :
>
> Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
> pour Emacs, c'est en projet), mais il faut un sacré investissement au
> début. Du coup, quand on a de petits besoins (pallier les déficiences
> des DNS de son FAI, par exemple), des solutions plus simples sont bien
> agréables.

Je ne sais pas pour la version Windows, mais la version empaquetée pour
Debian s'installe toute seule et est configurée par défaut pour servir
de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus
simple que BIND pour un simple cache récursif.

Thierry

unread,
Jul 10, 2008, 11:08:10 AM7/10/08
to
"Pascal Hambourg" <boite-...@plouf.fr.eu.org> a écrit dans le message de
news: g54qg6$2rna$1...@biggoron.nerim.net...

> De toute façon tu peux vérifier avec le lien fourni en début de fil.

C'est a dire que le site teste la faille ?
Je pensais qu'il se contentait de verifier la version du soft DNS.

Pascal Hambourg

unread,
Jul 10, 2008, 11:25:30 AM7/10/08
to
Thierry a écrit :

> "Pascal Hambourg" <boite-...@plouf.fr.eu.org> a écrit dans le message de
> news: g54qg6$2rna$1...@biggoron.nerim.net...
>
>>De toute façon tu peux vérifier avec le lien fourni en début de fil.
>
> C'est a dire que le site teste la faille ?

Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé. Ça regarde si les requêtes ont
toujours le même port source ou un port aléatoire. Ça vérifie peut-être
aussi le caractère aléatoire de l'ID de requête.

> Je pensais qu'il se contentait de verifier la version du soft DNS.

Je ne crois pas qu'il existe une méthode fiable pour cela.

Message has been deleted

Thierry B.

unread,
Jul 11, 2008, 4:35:41 PM7/11/08
to
--{ Pascal Hambourg a plopé ceci: }--

> Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
> javascript qui fait faire une série de requête DNS au navigateur qui
> aboutissent à un serveur déterminé.

Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...


--
Pourquoi le Poulet a traversé la rue ?
* Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit
protéger sa propre existence sauf si cette protection le force à désobéir
à un ordre humain ou à blesser un humain.

Fabien LE LEZ

unread,
Jul 11, 2008, 5:30:59 PM7/11/08
to
On 11 Jul 2008 20:35:41 GMT, "Thierry B\." <t...@prout.stex.invalid>:

> Est-ce que, _vraiment_, Javascript est capable de faire ce genre
> de choses ? Je trouve ça un peu inquiétant...

Le code ne fait pas grand-chose : il se contente d'afficher, dans une
iframe, la page

http://<session>.toorrr.com/printme.html

où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
choisis au hasard.

Stephane Catteau

unread,
Jul 14, 2008, 9:43:38 AM7/14/08
to
Fabien LE LEZ devait dire quelque chose comme ceci :


>> Est-ce que, _vraiment_, Javascript est capable de faire ce genre
>> de choses ? Je trouve ça un peu inquiétant...
>
> Le code ne fait pas grand-chose : il se contente d'afficher, dans une
> iframe, la page
>
> http://<session>.toorrr.com/printme.html
>
> où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
> choisis au hasard.

Le reste du test étant probablement basé sur l'exploitation directe de
la faille. Sous-entendu, si le DNS est vulnérable, tu seras dirigés
vers un site "parasite" qui affichera une page de vulnérabilité.

VANHULLEBUS Yvan

unread,
Jul 15, 2008, 9:28:02 AM7/15/08
to
Stephane Catteau <steph....@sc4x.net> writes:

> Fabien LE LEZ devait dire quelque chose comme ceci :
>

[...]


> Le reste du test étant probablement basé sur l'exploitation directe de
> la faille. Sous-entendu, si le DNS est vulnérable, tu seras dirigés
> vers un site "parasite" qui affichera une page de vulnérabilité.

Apparemment, meme pas.

Pour ce que j'en ai vu, il semblerait forcer une serie de requetes sur
"un truc qu'il maitrise", et regarde le port source de chaque requete
pour dire "c'est un port fixe, ta version de bind elle pue" ou "ca a
l'air aleatoire, mais regarde quand meme bien des deux cotes de la
route avant de traverser".


Le session ID est surement la pour pouvoir determiner a quelle session
http correspond quelle requete DNS, puisque c'est pas forcement (voire
surement assez rarement) la meme IP qui fait les deux vu depuis le
serveur.

A +

VANHU.

0 new messages